Dziś od rana jestem usilnie nakłaniany do aktywowania swojego konta w BZ WBK. Konta tam oczywiście nie posiadam, a sam sposób aktywacji, który wymagałby podania numeru karty, daty jej ważności oraz kodu PIN powinien chyba wzbudzić co najmniej pewne zaniepokojenie. Skoro jednak taka akcja jest prowadzona, to prawdopodobnie istnieją ludzie, którzy niewiele myśląc podadzą te dane...
Znowu phishing... i kilka słów o bankowości
Bankowość elektroniczna jest tańsza (dla banku)
Większość banków oferuje swoim klientom bankowość elektroniczną (internetową). Wynika to z faktu, iż taki sposób interakcji klienta z bankiem jest tańszy dla banku. W niektórych bankach tabele opłat i prowizji są układane w taki sposób, by zniechęcić klientów do korzystania z tradycyjnych placówek bankowych. Gdzie te zyski dla banku? Wystarczy wspomnieć o takich elementach:
- lokal - bank nie musi utrzymywać dużej sieci oddziałów (choć część banków radzi sobie tutaj za pomocą franczyzy), lokal trzeba utrzymać, w szczególności zapewnić ochronę, monitoring...
- pracownicy - mniej placówek - mniej pracowników. Co prawda do utrzymania infrastruktury informatycznej też trzeba zatrudnić ludzi i to za większe pieniądze, niż kasjerkę w okienku, jednak w skali całej działalności koszt jest jednak niższy... Zresztą w niektórych przypadkach wcale nie trzeba utrzymywać swojej bankowości, można ją oddać w outsourcing.
- gotówka - jakoś łatwiej się operuje na gotówce wirtualnej, niż na prawdziwych pieniądzach. Zarządzanie gotówką wcale nie jest kwestią trywialną, trzeba ją jakoś przechowywać, liczyć, dowozić do oddziałów, by klient mógł ją wybrać...
Klient korzystający z bankowości internetowej nie musi odwiedzać lokalu banku, więc sieć placówek może być mniejsza. Co więcej jeśli placówka służy tylko do podpisywania umów, to sposób w jaki jest chroniona jest inny (i tańszy), niż w przypadku "pełnoprawnego" oddziału banku. Także zarządzanie gotówką jest prostsze, bo tej gotówki po prostu nie ma. Zamiast tego klient otrzymuje do dyspozycji bankomaty i wpłatomaty.
To co napisałem powyżej jest prawdą tylko połowicznie. Od sposobu działania banku, grupy jego docelowych klientów, przeciętnej "zamożności" klienta i jego przyzwyczajeń, zależy to, co bankowi się opłaca bardziej. Co do zasady jednak bankowość internetowa nie jest już "fajnym gadżetem", który oferuje się klientom, lecz po prostu metodą na ograniczenie kosztów funkcjonowania banku, czyli po prostu metodą na zwiększenie zysków. Ilość klientów banków korzystających z bankowości elektronicznej będzie więc nadal rosnąć.
...i wygodniejsza...
Przynajmniej dla mnie. Nie wyobrażam sobie, bym miał korzystać z "tradycyjnej" bankowości spędzając czas w kolejkach do okienka... Oczywiście sama ergonomia poszczególnych systemów jest kwestią zupełnie oddzielną. Co prawda jeszcze przez pewien czas będzie istniała grupa ludzi, którzy "domagają się" interakcji z żywym człowiekiem, będą chodzić do oddziału banku i czekać w kolejkach. Być może wynika to z przyzwyczajeń, przecież dawniej tak właśnie bywało. Stanie w kolejkach było integralną i istotną częścią życia towarzyskiego. W oczekiwaniu na cukier lub papier toaletowy można było poznać wszystkie plotki z osiedla/miasteczka/wioski. Teraz, o zgrozo, kolejki zniknęły i część ludzi jest zagubiona. Odnajdują się oni wspaniale w kolejkach do lekarza i w aptekach, gdzie potrafią przez 20 minut dyskutować z farmaceutą, zamiast pójść do lekarza (jeśli są rzeczywiście chorzy). Sama myśl, że na takie towarzystwo natrafię w banku, skutecznie odstrasza mnie od korzystania z oddziału.
Klient z przypadku...
Banki mają coraz więcej klientów. Nie wszyscy klienci są "dobrowolni", część z nich została poniekąd "przymuszona" do założenia konta w banku, po to, by otrzymywać na nie wypłaty, świadczenia socjalne, emerytury, renty... Skutkiem ubocznym jest tutaj pogarszająca się sytuacja listonoszy, którzy dawniej całkiem sporo dorabiali sobie z "resztówek", które emeryci chętnie im darowali. W dawnych czasach, gdy bankowość internetowa nie była powszechnie dostępna, jej klienci zwykle prezentowali wyższy poziom świadomości w kwestiach technicznych związanych z szeroko pojętą informatyką. Teraz działa statystyka. Wzrost liczby klientów banku oraz różnego rodzaju środki mające zachęcić klientów do korzystania z systemów internetowych (redukcja kosztów!) powodują, że wielu użytkowników bankowości elektronicznej to klienci z przypadku. Są oni bardziej podatni na różnego typu ataki, na przykład na phishing (który jest pewną formą social engineering), ale również na te bardziej "techniczne", za pomocą różnego "wrogiego oprogramowania", czy wreszcie z uwagi na swoje "zwyczaje internetowe", jak na przykład korzystanie z publicznie dostępnych komputerów. Można więc powiedzieć, że wraz ze wzrostem ilości użytkowników, pogarsza się też ich "statystyczna jakość". Rozsyłanie maili phishingowych czy wyprodukowanie i rozpowszechnienie oprogramowania służącego do atakowania konkretnych banków staje się opłacalne, bo w masie klientów znajdzie się wystarczający odsetek takich, którzy dadzą się złowić...
Jaki jest cel "cyberprzestępcy"?
Nic nie dzieje się bez przyczyny. Tu oczywiście chodzi przede wszystkim o pieniądze. Zwykle o ich wyłudzenie, choć wbrew pozorom konta, na których pieniędzy nie ma (nie ma co wyprowadzić) nie są bezwartościowe. Mogą być przydatne do prania brudnych pieniędzy, finansowania różnych "ciekawych" organizacji... W chwili obecnej jednak głównym celem jest wyłudzenie/wykradnięcie pieniędzy z kont użytkowników. Być może w przyszłości pojawią się kolejne cele. Na przykład zdobycie informacji o klientach banku i ich zamożności. Tych bardziej zamożnych można będzie już próbować "obrabiać" bardziej tradycyjnie (na przykład wizyta "miłych panów" w kominiarkach w nocy, zasugerowanie "płatności za ochronę" w wysokości "lepiej dopasowanej" do stanu zamożności ofiary, czy może wreszcie szantaż dotyczący ujawnienia pewnych informacji, na przykład utrzymywania kochanki...).
Jak banki się bronią?
Uwierzytelnienie i autoryzacja. Po uwierzytelnieniu się klient w celu wykonania jakiejkolwiek operacji powinien ją autoryzować. Tutaj oczywiście wchodzi kwestia znalezienia odpowiedniego balansu między łatwością użytkowania a bezpieczeństwem. W szczególności pojawiają się rozwiązania, w których po stronie banku działa system oceniający, czy dana transakcja ma być autoryzowana, czy może zostać wykonana bez autoryzacji. Jeśli chodzi o "czystość formy", to uważam, że każda transakcja powinna być autoryzowana. Z drugiej strony to jednak bank posiada informacje o ewentualnych nadużyciach, które w związku z taką zmianą się pojawiają, w związku z czym z góry takiego systemu nie przekreślam (ale z niego bym nie skorzystał).
W chwili obecnej banki coraz częściej przechodzą na autoryzację transakcji przy pomocy kodów SMS, a konkretnie na implementację, która wymaga podania kodu SMS dla każdej transakcji. W wiadomości SMS przychodzi wówczas informacja o realizowanej transakcji. Jest to obecnie chyba najlepsza metoda dla przeciętnego klienta. Ta "najlepszość" wynika z faktu stworzenia w ten sposób drugiego kanału komunikacyjnego, którego atakujący nie może kontrolować. Dzięki temu kody SMS dość dobrze sprawdzają się nie tylko w ochronie przed phishingiem (atakujący nie może wyłudzić np. listy 10 kolejnych haseł jednorazowych, jak w przypadku TAN), ale również w przypadku złośliwego oprogramowania (użytkownik ma szansę zweryfikować parametry realizowanej transakcji przed przepisaniem kodu autoryzacyjnego z SMS).
To, czego banki nie są w stanie zagwarantować to bezpieczeństwo kanału komunikacyjnego oraz bezpieczeństwo stacji klienta. Mimo akcji informacyjnych, zaleceń odnośnie korzystania z aktualizowanego systemu operacyjnego i oprogramowania antywirusowego, znaczna część udanych kradzieży pieniędzy z kont jest realizowana przy pomocy złośliwego oprogramowania. Tutaj niestety trzeba powiedzieć, że wykorzystanie metody uwierzytelnienia i autoryzacji transakcji przy pomocy klucza prywatnego, jest niestety bardzo podatne na tego typu atak. Już dawno temu przedstawiałem scenariusz, w którym złośliwe oprogramowanie będzie wykradało klucz prywatny razem z hasłem, co wystarczy do uzyskania pełnej kontroli nad kontem klienta, przez atakującego. Z tego co wiem, tak się właśnie dzieje. Tego typu złośliwe oprogramowanie pojawiło się wtedy, gdy ilość użytkowników była na tyle duża, by wysiłek włożony w jego stworzenie stał się opłacalny. Jeszcze raz powtórzę - klucz prywatny powinien być osadzony na karcie kryptograficznej, dzięki czemu taki atak byłby już niemożliwy. Co więcej, można wówczas wykorzystać dwustronny SSL, który ogranicza dostęp do samej aplikacji, co dodatkowo zmniejsza powierzchnię ataku. Oczywiście nadal możliwe byłyby możliwe scenariusze ataku, w których klient podpisywałby zupełnie inne dane, niż te, które byłyby mu prezentowane (złośliwe oprogramowanie!).
Podaj nam swoje hasło i kody autoryzacyjne, bo jak nie, to...
Phishing... Zauważyłem, że często stosowanym podejściem jest grożenie użytkownikowi. Na przykład tym, że specjalny zespół w banku zauważył jakieś nieprawidłowości na jego rachunku, w związku z czym musi on teraz udowodnić, że nie jest wielbłądem i podać następujące dane (...). Taki humorystyczny przykład kiedyś już umieściłem. Tego typu technika jest nadspodziewanie skuteczna. Inne jej wersje, to na przykład zawiadomienie o wprowadzeniu nowych środków bezpieczeństwa, w związku z czym należy zrobić (...). Dzisiejszy phishing z kolei mówił o aktywacji konta (którego nie zakładałem), szkoda tylko, że nikt nie obiecywał mi dodatkowo jakichś bonusów za szybką aktywację, bo wówczas skuteczność mogłaby być wyższa. Wszystko po to, by użytkownik sam podał przestępcą wszystkie dane potrzebne do przejęcia jego konta i wykonywania na nim dowolnych operacji. No, czasami zamiast konta przestępcom wystarczyła karta, z której też przecież pieniądze wyprowadzić można...
Phishing - problem bez rozwiązania
Banki przez swoje działania zwiększają populację potencjalnych ofiar. Co więcej nie mogą zrobić praktycznie nic by problem wyeliminować, bo problemem są klienci i ich beztroskie postępowanie. Zresztą podobnież w naturze ludzkiej leży ufność...